Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

Push the button: ons vernieuwde DDoS-testbed in actie tijdens CONCORDIA Open Door 2022

Bezoek onze stand tijdens het event!

Hand die een virtuele powerbutton indrukt

De oorspronkelijke blog is Engelstalig, dit is de Nederlandse vertaling.

In een van onze eerdere blogs hadden we het al eens over het testbed dat we ontwikkelden voor het DDoS-clearinghouse en hoe we dit gebruikten om het systeem te testen in een realistische omgeving. In de afgelopen maanden verbeterden we het testbed en in oktober laten we tijdens het evenement CONCORDIA Open Door (COD2022) in München zien hoe het DDoS-clearinghouse werkt als onderdeel van het CONCORDIA Threat Intelligence Platform. In deze blog praten we je bij over de meest recente wijzigingen aan het testbed, vertellen we je over onze plannen voor COD2022 en nodigen we je uit om onze stand te bezoeken en het platform in actie te zien.

DDoS-clearinghouse

Het DDoS-clearinghouse is een systeem waarmee organisaties metingen van de DDoS-aanvallen die ze te verwerken krijgen, met elkaar kunnen delen in de vorm van zogeheten ‘DDoS-fingerprints’. Hierdoor hebben deze organisaties meer zicht op het DDoS-aanvalslandschap en kunnen ze hun netwerken op dit soort aanvallen voorbereiden of betere beslissingen nemen over welke externe mitigatiediensten ze moeten aanschaffen. Het DDoS-clearinghouse is een extra beveiligingslaag die een aanvulling vormt op de DDoS-mitigatiediensten waarover organisaties moeten beschikken om DDoS-verkeer af te handelen.

Anti-DDoS-coalities

Een anti-DDoS-coalitie (ADC) bestaat uit organisaties die zich verenigd hebben met het gemeenschappelijke doel de veerkracht van de diensten die de leden aanbieden te verbeteren door DDoS-aanvallen op coöperatieve basis te bestrijden. De leden van een ADC streven dat gemeenschappelijke doel na door middel van 3 activiteiten: het delen van DDoS-fingerprints via een DDoS-clearinghouse, het gezamenlijk uitvoeren van grootschalige DDoS-oefeningen om de DDoS-gereedheid van de leden te testen, en het delen van DDoS-expertise.

Een testbed voor het DDoS-clearinghouse

Vorig jaar hebben we een testbed opgezet om het DDoS-clearinghouse te testen in een gesimuleerde omgeving die representatief is voor een productiescenario (zie video). Het testbed stelt ons in staat om te experimenteren met nieuwe versies van de onderdelen van het clearinghouse en zorgt ervoor dat we niet hoeven te morrelen aan operationele systemen van leden van bestaande anti-DDoS-coalities en dat we geen moeite hoeven te steken in het opstellen van juridische overeenkomsten voor het uitwisselen van echte DDoS-informatie. (Uiteraard moeten dergelijke overeenkomsten wel geregeld zijn voor de productieversie.)

Kort samengevat bestaat het testbed uit een verkeersgenerator, die gesimuleerd DDoS-verkeer naar een testnetwerk kan sturen, en een virtuele anti-DDoS-coalitie, waarin de deelnemende CONCORDIA-partners met elkaar verbonden zijn. De verkeerssimulator bestaat uit 5 virtuele machines die over de hele wereld zijn verspreid, zodat het op een botnet lijkt. Een eenvoudig te bedienen online dashboard maakt interactie met de verkeersgenerator mogelijk.

Screenshot van het DDoS Clearing House Simulation Dashboard

Figuur 1: Het dashboard van het testbed, met nieuwe aanvalstypen.

Ons vernieuwde testbed: beter, sneller, sterker

In de afgelopen maanden veranderden we het testbed in 2 opzichten. Ten eerste verbeterden we de automatisering door gebruik te maken van Ansible, een populaire automatiseringstaal. Met Ansible kunnen de virtuele machines die samen het 'botnet' van de verkeersgenerator vormen, worden beheerd door middel van eenvoudige configuratiebestanden, zodat elke virtuele machine op dezelfde manier is ingesteld. Daarnaast is er een verbetering in de manier waarop instructies van het dashboard naar het pseudo-botnet worden gestuurd.

Ten tweede voegden we meer aanvalstypen aan het testbed toe. Voorheen gebruikten we hping3 om min of meer identieke pakketten te genereren en deze in een gestage stroom naar het doelwit te sturen, waardoor er alleen aanvallen op netwerk laag 3 en 4 mogelijk waren. Door populaire opensource DDoS-testtools in het testbed te integreren, kunnen we het DDoS-clearinghouse nu ook testen met andere soorten DDoS-aanvalstypen (laag 7).

We hebben de volgende DDoS-tools geïntegreerd:

  • HTTP Unbearable Load King (HULK): probeert het doelwit te overbelasten met grote aantallen gelijktijdige HTTP GET- of POST-verzoeken, waarbij gebruik wordt gemaakt van willekeurige User Agent-headers.

  • GoldenEye: maakt gebruik van de aanvalsvectoren HTTP Keep Alive en No Cache om snel de resources van een doelwit bezet te houden.

  • Slowloris: genereert grote aantallen HTTP-verzoeken en verstuurt regelmatig headers om de verbindingen open te houden. Als de verbindingen nooit gesloten worden, raakt de threadpool van het doelwit uitgeput en kan er niet meer worden gereageerd op legitieme gebruikers. Dit neemt maar heel weinig bandbreedte in beslag.

  • Low Orbit Ion Canon (LOIC): overbelast een doelwit met UDP-, TCP- en HTTP-pakketten.

We willen het testbed steeds veelzijdiger maken, dus blijven we uitkijken naar meer DDoS-tools om eraan toe te voegen. De gebruikersinterface bleef praktisch hetzelfde, op een extra optie om het aanvalstype te selecteren en wat visuele aanpassingen na (zie Figuur 1).

CONCORDIA-Threat Intelligence Platform

Het DDoS-clearinghouse maakt samen met het Incident Clearing House en MISP deel uit van het CONCORDIA Threat Intelligence Platform. Dit platform helpt aangesloten organisaties geïnformeerde beslissingen op het gebied van cybersecurity te nemen door informatie te verstrekken over aanvalsmethoden, inbreuksignalen en kwetsbaarheden. Het proces is collaboratief in de zin dat alle organisaties op het platform inzichten en gegevens aandragen, en is gebaseerd op datasets uit de praktijk.

Demonstratie van het Threat Intelligence Platform

We ontwikkelden een demonstrator die aan de hand van een coöperatieve en interactieve demonstratie laat zien wat het nieuwe platform te bieden heeft. In de demonstratie wordt aan de hand van het hypothetische scenario dat wordt weergegeven in Figuur 2 getoond hoe de 3 onderdelen van het Threat Intelligence Platform (het verbeterde testbed van het DDoS-clearinghouse, MISP en het Incident Clearing House) met elkaar samenwerken.

Scenario voor de demonstratie van het CONCORDIA Threat Intelligence Platform tijdens COD2022.

Figuur 2: Scenario voor de demonstratie van het CONCORDIA Threat Intelligence Platform tijdens COD2022.

In het scenario wordt het CONCORDIA Threat Intelligence Platform gebruikt door 2 partners, die in figuur 2 worden afgebeeld als servers P1 en P2. P1 is geïnfecteerd met malware en maakt nu deel uit van een botnet, dat in staat is om allerlei DDoS-aanvallen uit te voeren.

Met behulp van het botnet start de aanvaller een DDoS-aanval op de nietsvermoedende tweede partner, P2. Het doelwit verzamelt momentopnames van de inkomende DDoS-aanval voor gebruik door het DDoS-clearinghouse. Het Dissector-onderdeel gebruikt het DDoS-netwerkverkeer om een DDoS-fingerprint te genereren waarin de aanval wordt samengevat. Vervolgens wordt de fingerprint automatisch geüpload naar de DDoS-DB, zodat de overige leden van de virtuele ADC ook over de fingerprint kunnen beschikken.

Tegelijkertijd synchroniseert een centrale MISP-instantie met de DDoS-DB om de zojuist geüploade fingerprint binnen te halen en op te slaan als DDoS-event. Het Incident Clearing House gebruikt de zojuist gecreëerde DDoS-event in MISP om het incidentrapport te verrijken en naar de gecompromitteerde partner (P1) te sturen, die een van de bronnen van de aanval is. Vervolgens kan het Incident Clearing House ook de waarnemingen van het incident in MISP actualiseren.

CONCORDIA Open Door

We gaan onze interactieve demonstratie van het DDoS-clearinghouse presenteren tijdens COD2022 en laten zien hoe ons project gebruikt kan worden met het CONCORDIA Threat Intelligence platform. Tijdens het evenement laten ook andere ‘CONCORDIAnen’ de resultaten die ze het afgelopen jaar behaalden zien aan de projectpartners en overige geïnteresseerde belanghebbenden. Eind dit jaar loopt CONCORDIA af en dit wordt dus de laatste editie van COD. Het evenement vindt op 26 en 27 oktober plaats in München.

Grijp je kans!

Hadden we al gezegd dat de demonstratie live en interactief is? Daarom nodigen we jou uit om naar onze demonstratiestand in München te komen, waar je met behulp van het DDoS-testbed hoogstpersoonlijk een DDoS-aanval kunt creëren, die je vervolgens met één druk op de Big Red Button lanceert. En omdat jij degene bent die de hierboven beschreven kettingreactie teweegbrengt, krijg je bovendien een exemplaar van het incidentrapport. Laat Interpol het maar niet horen!

Poster met een man die naar de kijker wijst met daaronder de tekst 'I want you to push the button'

Meer informatie over het evenement CONCORDIA Open Door vind je hier. Wil je meer weten over het DDoS-clearinghouse, anti-DDoS-coalities of het Incident Clearing House raadpleeg dan de links aan het einde van deze blog of mail ons gewoon even.

Lees meer

Recente blogs:

Thijs van den Hout en Remco Poortinga demonstreren het DDoS-clearinghouse

Met dank aan

Dit werk is medegefinancierd door het onderzoeks- en innovatieprogramma Horizon 2020 van de Europese Unie in het kader van subsidieovereenkomst nr. 830927. Projectwebsite: https://www.concordia-h2020.eu/.

Artikel door:

Portret van Thijs van den Hout

Thijs van den Hout

Research engineer

Cristian Hesselman

Cristian Hesselman

Directeur SIDN Labs